¿Qué es el cumplimiento de PCI DSS?

PCI-DSS son estándares de seguridad de datos de la industria de tarjetas de pago. Se explica por sí mismo, como sugiere el nombre, este estándar se aplica a la industria de tarjetas de pago.

¿Por qué se requiere la regulación de cumplimiento de PCI-DSS?

Las transacciones financieras están sujetas a riesgos, ya sea en efectivo o con tarjeta. Para las transacciones en efectivo, la seguridad física es crucial. Para las transacciones con tarjeta, la seguridad de los datos pasa a primer plano y la seguridad física pasa a segundo plano. La tarjeta de pago puede ser de crédito o débito. Si los datos financieros y personales de la tarjeta de pago están protegidos, evitará transacciones fruadulentas.

Si los datos de la tarjeta de pago no están seguros:

  • El cliente puede perder el dinero.
  • Los comerciantes y las instituciones financieras perderán credibilidad y, a su vez, los negocios.
  • Atraerá acciones penales y multas.

Por lo tanto, la industria de las tarjetas de pago tomó la iniciativa de regular la transacción de datos de la tarjeta con estándares de seguridad de datos.

Los principales actores de la industria de datos de tarjetas Visa, Master Card, American Express, Discover y JCB formaron una alianza en 2006 para crear un  consejo de estándares de seguridad para la industria de tarjetas de pago. El consejo formuló los estándares de seguridad para todos los datos involucrados en la transacción de la tarjeta de pago. El cumplimiento de PCI-DSS (firewall de cumplimiento de PCI DSS) se aplica a todas las entidades involucradas en la transacción de la tarjeta de pago. El reglamento cubre a los comerciantes pequeños, medianos y grandes, los bancos y las instituciones financieras que participan en las transacciones con tarjeta se rigen por  PCI-DSS.. Para los desarrolladores de aplicaciones de software, es PCI PA-DSS. Para los proveedores de POS y los fabricantes de hardware, es PCI-PTS. De estos, PCI-DSS es importante porque gobierna un gran número de entidades. Estas entidades están involucradas en millones de transacciones con tarjeta.

¿Qué datos de la tarjeta de pago proteger?

Los ladrones de datos buscan al titular de la tarjeta y los datos de autenticación.

Datos del titular de la tarjeta

  • Número de cuenta principal (PAN)
  • Nombre del titular de la tarjeta
  • Fecha de caducidad
  • Código de servicio

Datos de autenticación confidenciales

  • Datos de pista completos (datos de banda magnética o equivalentes en un chip)
  • CAV2 / CVC2 / CVV2 / CID
  • PIN / bloques de PIN

Todos los involucrados en la transacción de la tarjeta de pago deben asegurarse de que los datos estén protegidos. Para proteger los datos, el consejo de seguridad de PCI-DSS ha creado una serie de requisitos que cumplir.

¿Qué se cubre en el cumplimiento de PCI DSS?

El PCI-DSS tiene 12 requisitos y procedimientos de prueba que cubren los componentes técnicos y operativos.

Que lograr Como alcanzar
Construya y mantenga una red segura
  1. Instale y mantenga una configuración de firewall para proteger los datos de los titulares de tarjetas.
  2. No utilice los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
Proteja los datos del titular de la tarjeta
  1. Proteja los datos almacenados del titular de la tarjeta.
  2. Cifre la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas.
Mantener un programa de gestión de vulnerabilidades
  1. Utilice y actualice regularmente software o programas antivirus.
  2. Desarrollar y mantener sistemas y aplicaciones seguros.

Implementar fuertes medidas de control de acceso
  1. Restrinja el acceso a los datos de los titulares de tarjetas según la necesidad comercial.
  2. Asigne una identificación única a cada persona con acceso a una computadora.
  3. Restrinja el acceso físico a los datos del titular de la tarjeta.
Supervise y pruebe las redes con regularidad
  1. Rastree y controle todo el acceso a los recursos de la red y los datos de los titulares de tarjetas.
  2. Pruebe periódicamente los sistemas y procesos de seguridad.
Mantener una política de seguridad de la información.
  1. Mantenga una política que aborde la seguridad de la información para empleados y contratistas.

 

Es un proceso de tres pasos (¿Cómo obtener el cumplimiento de PCI DSS?) Para proteger los datos del titular de la tarjeta para cualquier organización.

Son:

  • Evaluar

En este paso, identifique los datos del titular de la tarjeta, haga un inventario de los activos de TI y el proceso comercial de la tarjeta de pago y analice la vulnerabilidad.
Para evaluar, hay asesores de seguridad calificados. Elija un asesor disponible cerca. Para los pequeños comerciantes y proveedores de servicios, el cuestionario de autoevaluación (SAQ) es suficiente.

  • Remediar

Solucione la vulnerabilidad y no almacene los datos del titular de la tarjeta a menos que sea absolutamente necesario.
Asegúrese de que el cumplimiento se supervise de forma continua. El monitoreo periódico puede tener brechas para el robo de datos.

  • Reporte

Recopile y envíe los informes de cumplimiento de PCI DSS a la marca de la tarjeta o al banco que los haga cumplir.
El consejo de seguridad de PCI-DSS no aplica el cumplimiento de PCI DSS Firewall. Son solo las marcas de tarjetas o el banco.

Cómo Firewall Analyzer facilita el cumplimiento de PCI-DSS

Firewall Analyzer monitorea continuamente la red para el cumplimiento del firewall de PCI-DSS (configuración de firewall de cumplimiento de PCI). El informe de cumplimiento de PCI del firewall se puede extraer en cualquier momento para cumplir con los requisitos de auditoría. También puede programar informes de firewall PCI y registrarlos para futuras referencias, asegurando así un firewall compatible con PCI DSS (firewall compatible con PCI). Consulte los requisitos de cumplimiento de PCI-DSS cubiertos por Firewall Analyzer .